Schadcode-Infizierung Contao 3.5.6

**sadara** · 20.02.2017, 18:33

Hallo community,

ich habe innerhalb von 4 Wochen das zweite Mal eine Schadcode-Infizierung auf der webseite. Das erste Mal war es nur eine zusätzliche Datei im root-Verzeichnis. Die habe ich entfernt, anschliessend sämtliche Passwörter geändert incl. DB-User und mail-Konten. Habe meinen Rechner überprüft - nichts gefunden. Die Seite war schon mehrmals Opfer von Hacker-Angriffen, nach dem Relaunch auf Contao 3.5.6 allerdings nicht mehr - bis jetzt. Das ist eine Portalseite, die werden ja gerne mal gehackt.

Das zweite Mal waren diverse index.php-Dateien mit Schadcode versehen bzw. neue erstellt, wo vorher gar keine waren plus Verzeichnisse/Dateien, die vorher nicht da waren.
Habe alles entfernt, der contao-check ergab auch noch korrupte .htaccess Dateien. Die habe ich aus der Original-Installation wieder ersetzt, nun ist der contao-check okay, ausser der "missing install.php" (aber das ist Absicht, die habe ich umbenannt).
Ein erneuter Check meines Rechners ergab keine Infizierung. Laut Provider auch keine Schadcodes mehr.

Ebenfalls laut Provider erfolgte der Zugriff nicht über ftp, sondern über http.
Nun habe ich in einem Forumsbeitrag zu dem Thema gelesen, dass man die .htaccess (welche?) mit einem Schutz versehen kann, finde aber den Beitrag nicht mehr.
Frage: Wie geht das?
Und hat jemand eine Ahnung, was ich noch tun kann? (Wiki hab ich schon gelesen, werde die Erweiterung Integrity-Check installieren - aber die meldet ja nur eine Infizierung, sie verhindert sie nicht.)
Wie kommen die also an die Daten????

Danke für Tipps,
Sadara

**Fachinger** · 20.02.2017, 20:14

Du meinst bestimmt, dass die htacces.default nach .htaccess umbenannt wird. Darauf wird aber in den verschiedensten Beiträgen eingegangen.

Gesendet von meinem LG-H815 mit Tapatalk

**sadara** · 20.02.2017, 20:32

Nein, das meine ich nicht.
Contao-check hat mehrere htaccess-Dateien bemängelt, in verschiedenen Unterverzeichnissen. Die, die da standardmässig drin sind.

**tab** · 20.02.2017, 21:04

Ich weiss natürlich nicht, wie der Schadcode in dein System gekommen ist. Eine Möglichkeit wäre jedoch die Sicherheitslücke in Swiftmailer (CVE-2016-10074), falls du irgendwelche Formulare auf der Website hast, die Emails verschicken. Diese Sicherheitslücke ist mittlerweile gefixt in einer neuen Version von Swiftmailer, die seit Contao 3.5.21 in Contao benutzt wird. Eine wichtige Gegenmaßnahme wäre also, dieses Update durchzuführen, zumal jetzt, wo die Sicherheitslücke mittlerweile im Detail veröffentlicht ist. Da ist natürlich eine Contao-Version mit der Swiftmailer-Sicherheitslücke eine Einladung an jeden Hacker. Zudem reicht es meiner Meinung nach nicht, nur die Dateien des Core zu überprüfen. Man sollte schon auch noch schauen, was denn sonst so zu der gehackten Installation gehört, ob das alles ok ist oder ob da z.B. Änderungen in Dateien bzw zusätzliche Dateien vorkommen.
Siehe hierzu auch: http://de.contaowiki.org/Contao_gehackt

**Thraile** · 21.02.2017, 06:51

Nicht nur der PHP Mailer hatte eine Lücke, auch mediaelement.js ist in dieser Version angreifbar. Also ganz dringend Updaten und danach kontrollieren, ob die alten Versionen auch gelöscht wurden. ????

Gesendet von meinem D5803 mit Tapatalk

**sadara** · 21.02.2017, 09:37

Okay, danke für die Infos. Kann ich eigentlich von 3.5.6 direkt auf 3.5.24 updaten?

**tab** · 21.02.2017, 09:48

Ja, entweder mit Liveupdate oder manuell - was ich hier eigentlich empfehlen würde, weil man da gezielt nur die Dateien mitnehmen kann, die auch wirklich zur Installation gehören. Mit Easyupdate3 geht es natürlich auch, allerdings nur mit Zwischenschritten.

**sadara** · 21.02.2017, 15:15

Ich habe die Installation manuell upgedated - zunächst lokal.
Allerdings bekomme ich beim Aktualisieren der Datenbank (install-tool) folgenden Fehler:

Code:

Fatal error: Uncaught exception Exception with message Query error: Duplicate entry 'edc2f2335ac96cc245f1975ed96b1e86-255' for key 'checksum_pid' (ALTER TABLE `tl_search` ADD UNIQUE KEY `checksum_pid` (`checksum`, `pid`);) thrown in system\modules\core\library\Contao\Database\Statement.php on line 295

#0 system\modules\core\library\Contao\Database.php(207): Contao\Database\Statement->query('ALTER TABLE `tl...')
#1 system\modules\core\controllers\BackendInstall.php(616): Contao\Database->query('ALTER TABLE `tl...')
#2 system\modules\core\controllers\BackendInstall.php(177): Contao\BackendInstall->adjustDatabaseTables()
#3 contao\install.php(24): Contao\BackendInstall->run()
#4 {main}

Weiss vielleicht jemand, was das bedeutet?

Beim Versuch, die Contao Check zu laden, kam zunächst die Meldung, meine check-Version würde die 3.5.24 nicht kennen. Habe daraufhin die neue check-master verwendet, da kommt beim Versuch, die Installation zu überprüfen, folgende Meldung:

Code:

Version file error

Error while retrieving version file: SSL certificate problem: unable to get local issuer certificate.

There was an error retrieving the version file from contao.org for your Contao version.

**Spooky** · 21.02.2017, 15:43

Zitat von sadara

Ich habe die Installation manuell upgedated - zunächst lokal.
Allerdings bekomme ich beim Aktualisieren der Datenbank (install-tool) folgenden Fehler:

Code:

Fatal error: Uncaught exception Exception with message Query error: Duplicate entry 'edc2f2335ac96cc245f1975ed96b1e86-255' for key 'checksum_pid' (ALTER TABLE `tl_search` ADD UNIQUE KEY `checksum_pid` (`checksum`, `pid`);) thrown in system\modules\core\library\Contao\Database\Statement.php on line 295

#0 system\modules\core\library\Contao\Database.php(207): Contao\Database\Statement->query('ALTER TABLE `tl...')
#1 system\modules\core\controllers\BackendInstall.php(616): Contao\Database->query('ALTER TABLE `tl...')
#2 system\modules\core\controllers\BackendInstall.php(177): Contao\BackendInstall->adjustDatabaseTables()
#3 contao\install.php(24): Contao\BackendInstall->run()
#4 {main}

Weiss vielleicht jemand, was das bedeutet?

Ja, du musst über die System Wartung den Such Cache löschen lassen. Danach kannst du das Datenbank Update durchführen.

Zitat von sadara

Beim Versuch, die Contao Check zu laden, kam zunächst die Meldung, meine check-Version würde die 3.5.24 nicht kennen. Habe daraufhin die neue check-master verwendet, da kommt beim Versuch, die Installation zu überprüfen, folgende Meldung:

Code:

Version file error

Error while retrieving version file: SSL certificate problem: unable to get local issuer certificate.

There was an error retrieving the version file from contao.org for your Contao version.

https://community.contao.org/de/show...ficate-problem

**sadara** · 21.02.2017, 16:27

Hallo Spooky,

ganz heissen Dank für deine Infos! Jetzt sieht alles sehr gut aus, auch der Contao-Check funktioniert nun.
Mein Abend ist gerettet.......
Sadara

**dackelchen** · 21.02.2017, 16:29

Hier noch ein Tippfür die Zukunft: Suche Dir irgendeinen Kana, der Dich über Conzao-Updates informiert.

Spontan fällt mir die Facebookgruppe zu Contao ein oder die Tweets von Leo. Sicherheitsupdates sollte man nämlich immer zeitnah erledigen..

Und es sxchadet auch nicht, wenn Du Deinen Workflow dagingehend ergänzt, dass Du bei eingeschleustem Fremdcode auch die Sicherheitslücke fixt.